Android: Passwortmanager legen per Autofill Zugangsdaten offen
Viele Android-Apps rendern Log-in-Seiten per Webview direkt in der App. Nutzen Passwortmanager dort die Autofill-Funktion, können Daten durchsickern.
Eine Autospill genannte Schwachstelle kann offenbar dazu führen, dass mehrere verbreitete Passwortmanager Zugangsdaten ihrer Nutzer offenlegen, wenn diese von der Autofill-Funktion von Android Gebrauch machen. Das berichtet Techcrunch unter Verweis auf eine Präsentation von Forschern des International Institute of Information Technology Hyderabad auf der Black Hat Europe 2023.
Problematisch ist dies etwa beim Öffnen einer Anmeldeseite über die Android-Webview innerhalb einer App. Als Beispiele nannten die Forscher das Öffnen von Hyperlinks in Anwendungen wie Skype oder Gmail sowie die Möglichkeit, sich innerhalb verschiedener Apps "mit Apple/Facebook/Google anzumelden". "Bei Auswahl einer solchen Option lädt die Drittanbieter-App die entsprechende Anmeldeseite in Webview", erklärten die Forscher im Briefing zu ihrer Präsentation.
Wenn ein Passwortmanager per Autofill automatisch die Zugangsdaten der Nutzer eintragen soll, kann es unter bestimmten Umständen passieren, dass die Datenfelder nicht korrekt identifiziert werden und die Daten stattdessen in nativen Eingabefeldern der zugrunde liegenden App auftauchen, wo Unbefugte sie auslesen können.
Viele gängige Passwortmanager anfällig
Selbst innerhalb einer vertrauenswürdigen App ist dieses Verhalten fragwürdig. Kritisch wird Autospill aber vor allem dann, wenn die Basisanwendung bösartig ist. "Auch ohne Phishing kann jede bösartige App, die Sie auffordert, sich über eine andere Webseite wie Google oder Facebook anzumelden, automatisch auf sensible Informationen zugreifen", erklärte einer der Forscher gegenüber Techcrunch.
Wie den Präsentationsfolien (PDF) des Teams zu entnehmen ist, wurde die Schwachstelle unter Android 10, 11 und 12 in Verbindung mit verschiedenen gängigen Passwortmanagern getestet – darunter 1Password, Lastpass, Enpass, Keeper und Keepass2Android. Selbst ohne Javascript-Support waren die meisten davon anfällig für die Offenlegung von Anmeldeinformationen. Mit Javascript-Support funktionierte der Angriff sogar bei allen getesteten Passwortmanagern.
Hersteller liefern gemischtes Feedback
Die Forscher informierten das Android-Sicherheitsteam und die Anbieter der betroffenen Passwortmanager über ihre Erkenntnisse. Techcrunch veröffentlichte auch einige Stellungnahmen der jeweiligen Unternehmen, die ein gemischtes Bild zeichnen. 1Passwort beispielsweise bestätigte dem Bericht zufolge, dass man zusätzliche Schutzmaßnahmen bereitstellen wolle.
Der CTO von Keeper hingegen habe die Informationen zu Autospill zwar zur Kenntnis genommen, jedoch keine Korrekturen angekündigt und stattdessen auf Google verwiesen, da sich die Schwachstelle speziell auf die Android-Plattform beziehe, hieß es weiter. Ein Lastpass-Sprecher wiederum habe erklärt, dass sein Unternehmen für das beschriebene Problem bereits eine Pop-up-Warnung implementiert habe.
Google erkannte den Forschern gegenüber zwar an, dass es sich bei Autospill um ein relevantes Problem handle, äußerte sich aber wohl bisher nicht weiter dazu. Unklar ist auch noch, ob ein vergleichbarer Angriff unter iOS möglich ist. Die Forscher kündigten an, dies noch zu untersuchen.